[Tool Re 1] Hướng dẫn debug động virus bằng IDA

HustReMw

VIP Members
20/12/2016
251
544 bài viết
[Tool Re 1] Hướng dẫn debug động virus bằng IDA
Chào các bạn, trước đây tôi cứ quan niệm phân tích virus CFF+ IDA + Olly là đủ, tuy nhiên nhờ một sự kiện... đã làm tôi thay đổi suy nghĩ đó và tôi sẽ viết một seri liên quan đến các tool liên quan đến phân tích mã độc tôi tìm hiểu thêm được, cũng như các cái hay của các tool này.

1704785156410.png

Đầu tiên nói đến IDA, trước đây tôi chỉ dùng IDA để phân tích tĩnh, chưa chú ý đến các cái hay khác của IDA, cái hay đầu tiên tôi muốn nhắc tới là dùng IDA để phân tích động virus, tính năng debug có cả trên bản IDA Pro và IDA Free.

upload_2021-8-3_16-55-24.png


Bắt đầu debug, chúng ta kéo mẫu vào IDA => Trong tab debugger => Select debugger => Local Win32 debugger

upload_2021-8-3_17-15-8.png


Một số phím tắt đê debug, các phím tắt này tôi thấy giống Olly
  • F2: Để đặt breakpoint
  • F9: Bắt đầu chạy debugg
  • F7: Debug từng lệnh
  • F8: Debug qua hàm
Dưới đây là hình ảnh tôi debug nhảy vào hàm CreateProcessW của sub_4014EB(), một số cửa số phục vụ debug
  • Pseudocode: Cửa sổ thê hiện mã code C (IDA Pro mới có), đây cửa sổ thể hiện sự khác biệt giữa debug bằng IDA vs Olly: Khi debug Olly chúng ta như đi trong mê cung không biết lối ra, còn IDA thì cho chúng ta một cái nhì tổng quan nên dễ dàng trong việc phân tích
  • Watch view: Cửa sổ để xem giá trị các biến
  • Stack view: Cửa sổ xem stack
  • General Registers: Cửa sổ xem giá trị thanh ghi
upload_2021-8-3_17-43-27.png


Chúng ta có thể thấy: Hầu hết các cửa sổ để debug động của Olly thì IDA đều có và sự khác biệt đến từ cửa sổ Pseudocode, tuy nhiên điểm mạnh của olly là debug các vùng memoory khác nhau, đặt breakpoint hardware, dump memory... Trong bài viết tiếp theo, tôi sẽ đánh giá vấn đề này để xem IDA có thay thế hoàn toàn được Olly không

[Còn tiếp......................................]
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
debug ida virus
Bên trên